Google heeft onlangs $ 100 miljoen toegezegd aan groepen die open source-beveiligingsprioriteiten beheren en kwetsbaarheden helpen oplossen, en het heeft nu acht van de projecten die het heeft gekozen om te ondersteunen, gedetailleerd.
Vorige maand kondigde de Linux Foundation aan dat het rechtstreeks mensen zou financieren om te werken aan de beveiliging van open-sourceprojecten. Het wordt ondersteund door Google, Microsoft, de Open Source Security Foundation en de Linux Foundation Public Health Foundation. De Linux Foundation coördineert reparaties wanneer er bugs worden gevonden.
De stichting en collega's zoeken naar voorheen onbekende beveiligingsproblemen via beveiligingsaudits die zullen worden uitgevoerd door het Open Source Technology Improvement Fund (OSTIF). Deze projecten omvatten twee Linux-kernelbeveiligingsaudits.
Nu heeft Google zijn steentje bijgedragen aan een deel van de onmiddellijke auditplannen van OSTIF.
“Dankzij de steun van Google kan OSTIF het Managed Audit Program (MAP) lanceren, dat diepgaande beveiligingsbeoordelingen zal uitbreiden naar kritieke projecten die van vitaal belang zijn voor het open source-ecosysteem”, zegt Kaylin Trychon, een security comms manager bij het Google Open Source Security-team. .
Waarschijnlijk het grootste van de acht auditprojecten die Google financiert, is Git, de “de facto” versiebeheersoftware die is gemaakt door Linux-kernelmaker Linus Torvalds en die de basis vormt van platforms zoals GitHub en GitLab.< /p>
“Git is de op een na meest kritieke applicatie in C en de 10e meest kritische applicatie op alle platforms”, merkt OSTIF op, eraan toevoegend dat het “ongetwijfeld een van de meest kritische stukjes open-source software ter wereld is.”
De rest zijn belangrijke JavaScript- en Java-tools en frameworks voor webontwikkeling, waaronder: Lodash, een moderne JavaScript-hulpprogrammabibliotheek voor webontwikkeling die wordt gebruikt in Chrome en andere browsers; Laravel, een PHP-webapplicatieframework; SLF4J of Simple Logging Facade voor Java; de Jackson-core JSON voor Java en het Jackson-databind-pakket; en Httpcomponents-core en Httpcomponents-client.
“De acht bibliotheken, frameworks en apps die voor deze ronde zijn geselecteerd, zijn degene die het meest zouden profiteren van beveiligingsverbeteringen en de grootste impact zouden hebben op het open source-ecosysteem dat ervan afhankelijk is”, legt Trychon uit. .
De bijdrage van Google helpt OSTIF om bugs in belangrijke open source-projecten te vinden en op te lossen.
OSTIF heeft in totaal 25 MAP-projecten geïdentificeerd die voor financiering in aanmerking komen, waaronder de acht die Google tot nu toe heeft gefinancierd. Andere projecten met financiering in afwachting van ondersteuning omvatten bekende systemen en tools die ontwikkelaars gebruiken, zoals de Drupal en Joomla web content management systemen, webpack, reprepro, cephs, Facebook-onderhouden React Native, salt, Gatsby, Google-onderhouden Angular, Red Hat's Ansible en het Guava Java-framework van Google.
Na een ontmoeting tussen de Amerikaanse president Joe Biden en de beste Amerikaanse technologiebedrijven vorige maand, kondigde Google een verbintenis van 10 miljard dollar aan om de uitbreiding van zero-trust-programma's te verbeteren, de toeleveringsketens van software te helpen beveiligen en de open source-beveiliging te verbeteren.
Google zou een van de beste functies van de iPhone naar Android kunnen brengen Hier leest u hoe u zich kunt afmelden voor de Privacy Sandbox (FLoC) van Google Chrome, probeert Google om apps voor het synchroniseren van desktopbestanden te consolideren in de enkelvoudige Drive-app Google voegt voorzichtigheid toe aan zoekresultaten over opkomende onderwerpen Google heeft zojuist nieuwe manieren gevonden om u een Pixel te verkopen en het zijn prachtige
Verwante onderwerpen:
Google Cloud Big Data Analytics Innovatietechnologie en samenwerking op het werk 